プライバシーポリシー

1. データ管理者

お客様の個人データの処理に責任を負う主体（GDPR では「データ管理者」、PIPL では「個人情報取扱者」）は以下の通りです：

• 事業者: CoinKirin.com
• プライバシー一般窓口: privacy@coinkirin.com
• データ保護責任者（DPO）: dpo@coinkirin.com
• EU 代表者（GDPR 第 27 条）: 現在 EU 代表者を任命手続中です。指定が完了するまでは privacy@coinkirin.com までご連絡ください。
• PIPL 中国国内代表者: 未指定。中国のお客様は件名「PIPL Request」で privacy@coinkirin.com までご連絡ください。

2. 収集する個人データのカテゴリ

サービス運営に必要な最小限のデータのみを収集します。具体的には以下のカテゴリを処理します：

アカウント データ

メール アドレス、パスワード（コスト係数 12 の bcrypt ハッシュのみ保存、平文は保持しません）、二要素認証用 TOTP シークレット（AES-GCM で暗号化保存）、表示名、アカウント作成日時。

ユーザー設定

言語、テーマ、ロケール、通知設定、通貨設定。

金融データ（ユーザー入力）

ポートフォリオの保有状況、ウォッチリスト、価格アラート。お客様が自発的に入力された情報であり、外部のブローカーや取引所に送信されることはなく、お客様がご利用になる機能の提供のみに使用されます。

デバイス・技術データ

IP アドレス（分析利用前に /24 で切り詰め）、User-Agent、デバイス フィンガープリント / リフレッシュ トークン デバイス ID、画面解像度・ロケール（任意、クライアント側のみ）。

利用データ

閲覧ページ、機能利用状況、検索クエリ、クリック イベント、Core Web Vitals（LCP、CLS、INP）、匿名化されたエラー レポート。

Cookie および類似技術

厳密に必要な Cookie（セッション、CSRF、ロケール）、設定用 Cookie（テーマ）、およびお客様の明示的同意がある場合のみの分析 Cookie。完全な一覧は Cookie ポリシーをご覧ください。

特別カテゴリのデータ（人種、宗教、健康、性的指向、政治的信条、生体認証、遺伝情報）は意図的に収集しません。そのようなデータを送信しないでください。

3. データの収集方法

以下の方法で個人データを取得します：

お客様から直接

アカウント登録、プロフィール編集、ポートフォリオ入力、サポート依頼、その他本サービスのご利用時。

自動収集

本サービスのご利用時に、Cookie、サーバー ログ、利用分析を通じて自動的に取得します。

第三者から

Cloudflare はお客様の IP アドレスから得られる大まかな国情報を、セキュリティとローカライズ目的で当社に提供します。データ ブローカーから個人データを購入することはありません。

4. 処理目的と法的根拠

GDPR 第 6 条に基づき、少なくとも 1 つの合法的根拠が適用される場合にのみ個人データを処理します。当社の処理目的と対応する法的根拠は以下の表のとおりです：

5. データの保持

上記の目的達成に必要な期間、または法律で義務付けられた期間に限り個人データを保持します：

• アカウント データ：アカウント有効期間中。削除リクエスト後、30 日間のソフト削除期間（この間は復元可）を経て完全削除されます。
• 監査ログ（一般）：1 年。
• 重要イベントの監査ログ（管理者操作、アカウント削除、セキュリティ インシデント）：法規制上必要な場合、最長 7 年。
• クライアント エラー レポート：90 日（自動 TTL）。
• 分析データ：90 日（自動 TTL）、その後削除または完全に集計・匿名化。
• リフレッシュ トークン：最長 30 日、期限切れは自動削除。
• バックアップ：最長 35 日、暗号化保存後にローテーション。

6. データの共有

当社はお客様の個人データを販売しません。CCPA/CPRA が定義する「クロスコンテキスト行動広告」のための共有も行いません。

当社は、書面によるデータ処理契約（DPA、必要に応じて標準契約条項 SCC 付き）に基づき当社の指示の下で業務を行う、信頼できる限られた数の副処理者に依拠しています：

現在稼働中の副処理者

新たな副処理者については、開始の少なくとも 30 日前に、ブログ記事および本ページで告知します。GDPR 第 28 条(2) に基づき、新たな副処理者に異議を申し立てる権利があります。

計画中 / 条件付き副処理者

以下は現在未契約ですが、ロードマップに含まれています。起動時は 30 日前に告知します。

• Grafana Labs, Inc. (Grafana クラウド) — オブザーバビリティを自己ホスト型から移行する場合
• Anthropic, PBC — AI / MCP 機能を提供開始する場合

副処理者ではないもの

以下の提供者はユーザー個人データを処理しないため、副処理者としては記載しません：GitHub（コードホスティングのみ）、npm / Go module proxy（依存関係）、Let's Encrypt（TLS 証明書）、Docker Hub（イメージ配布）。

異議申立ての権利

dpo@coinkirin.com までご連絡いただければ、新たな副処理者にいつでも異議を申し立てできます。合理的に対応できない場合でも、事前にデータをエクスポートしたうえでアカウントを削除する権利は保持されます。

法的開示

法律、裁判所命令、有効な法的手続き（召喚状や規制当局の要請など）により必要とされる場合、個人データを開示することがあります。法的に許される限り、開示前に影響を受けるユーザーに通知します。

事業譲渡

CoinKirin が合併、買収、資産売却に関与する場合、取引の一部としてお客様の個人データが移転されることがあります。法律上必要な場合、通知し意味のある選択肢を提供します。

7. 国際データ移転

バックアップおよび副処理者のインフラも米国にある可能性があります。

EEA、英国、スイスのユーザーについては、米国への個人データ移転は欧州委員会の標準契約条項（SCC）を GDPR 第 46 条の適切な保護措置として用います。SCC の写しは privacy@coinkirin.com までご請求ください。

英国のユーザーには、SCC への英国国際データ移転補遺を適用します。

中華人民共和国のユーザー：お客様の個人情報は中国大陸外（主に米国）に移転、保存、処理されます。CoinKirin のアカウント作成および利用により、PIPL 第 38–39 条に基づきこの越境移転に明示的に同意したものとみなされます。アカウント削除によりいつでも同意を撤回できますが、この移転なしに本サービスを提供することはできません。

8. お客様の権利

居住地に応じて、個人データに関する以下の権利があります。司法管轄にかかわらず、実務上可能な限り、当社はすべてのユーザーに対してこれらの権利を尊重します。

アクセス権 / 知る権利

当社が保有するお客様の個人データの写しを請求できます。登録ユーザーは /api/v1/auth/me/export（プロフィール設定の「データをエクスポート」）からいつでもデータをエクスポートできます。（GDPR 第 15 条 / CCPA 知る権利 / PIPL 第 45 条。）

訂正権

不正確・不完全な個人データはプロフィール ページから訂正できます。直接編集できないデータは privacy@coinkirin.com までご連絡ください。（GDPR 第 16 条。）

削除権

プロフィール ページからアカウントを削除できます。30 日間のソフト削除期間を経て、本番システムからお客様のアカウントおよび関連個人データを完全削除します。バックアップは 35 日以内にローテーション。（GDPR 第 17 条 / CCPA 削除権 / PIPL 第 47 条。）

処理制限権

特定の状況下（例：データの正確性に異議を申し立てている間など）、個人データの処理を制限するよう当社に求めることができます。privacy@coinkirin.com までご連絡ください。（GDPR 第 18 条。）

データ ポータビリティ権

データ エクスポート エンドポイントは、構造化され、一般的で機械可読な JSON 形式で返します。（GDPR 第 20 条 / PIPL 第 45 条。）

異議申立権

正当な利益に基づく処理（ダイレクト マーケティングを含む）に異議を申し立てる権利があります。各マーケティング メールにはワンクリックの配信停止リンクがあります。（GDPR 第 21 条。）

同意撤回権

処理が同意に基づく場合（分析 Cookie、マーケティング メールなど）、Cookie バナーの「すべて拒否」や配信停止リンクからいつでも同意を撤回できます。

自動意思決定に関する権利

法的またはそれに準ずる重大な効果を生じさせる、完全自動化された意思決定のみにユーザーを服させることはしません。

カリフォルニア州固有の権利（CCPA/CPRA）

カリフォルニア州居住者はさらに、収集される個人情報のカテゴリ、情報源、収集の事業目的、共有する第三者のカテゴリの開示を請求できます。当社は個人情報を販売しておらず、過去 12 か月間に販売していません。

PIPL 固有の権利

中国のユーザーは上記に加えて、個人情報のコピーを他の個人情報取扱者に移転する権利、中国国家インターネット情報弁公室（CAC）への苦情申立権を有します。

苦情申立権

お客様はお住まいの地域のデータ保護機関に苦情を申し立てることができます。EU ユーザーは https://edpb.europa.eu/about-edpb/about-edpb/members_en から機関を検索できます。まず privacy@coinkirin.com へ直接ご連絡いただければ幸いです。

権利行使の方法

一部の権利（エクスポート、削除、配信停止）はサービス内のセルフサービス ツールとして提供されています。その他のご請求は privacy@coinkirin.com までメールでお願いします。GDPR/PIPL では 30 日以内、CCPA では 45 日以内に回答します。処理前に本人確認を求めることがあります。

9. 子供のデータ

CoinKirin は 18 歳未満の方を対象としていません。特に、13 歳未満（米国 COPPA）または 16 歳未満（EU GDPR 第 8 条）の子供から個人情報を意図的に収集することはありません。保護者の同意なく子供のデータを収集したと判明した場合は速やかに削除し、適切な場合には保護者に通知します。子供のデータを収集したとお考えの場合は privacy@coinkirin.com までご連絡ください。

10. セキュリティ対策

偶発的または違法な破壊、喪失、改ざん、無許可の開示・アクセスから個人データを保護するため、適切な技術的・組織的措置を講じています：

• 転送中のデータは TLS 1.2 以上で暗号化。
• TOTP シークレットなど機微度の高いフィールドは AES-GCM で保存時暗号化。
• パスワードはコスト係数 12 の bcrypt でハッシュ化し、平文では保存・送信しません。
• HTTPS のみ、HSTS プリロード、厳格な CSP、現代的なセキュリティ ヘッダー。
• レート制限、重要エンドポイントでの Cloudflare Turnstile CAPTCHA、任意の TOTP 2 要素認証。
• すべての管理操作に対する包括的な監査ログ。
• 最小権限の原則、アクセス レビューとロールベースの権限制御。
• 定期的な依存関係スキャンとセキュリティ パッチ適用。

当社はセキュリティを真剣に扱っていますが、100% 安全なシステムはありません。アカウント認証情報の管理はお客様の責任です。

11. データ侵害の通知

万一個人データ侵害が発生した場合、GDPR 第 33 条に基づき、侵害を認知後、可能な限り 72 時間以内に所轄監督機関に通知します。権利と自由に対する高いリスクをもたらす可能性がある場合は、メールおよびアプリ内通知により、不当な遅延なく直接お客様にも通知します。

12. 本ポリシーの変更

慣行、技術、法的要件などの変更を反映するため、本ポリシーを随時更新することがあります。重大な変更は、登録ユーザーにはメール（登録ありの場合）およびサービス内の目立つ通知で、発効の少なくとも 14 日前に通知します。ページ上部の「最終更新」日が常に最新版を示します。

本ポリシーの過去バージョンは保管されています。過去バージョンをご希望の場合は privacy@coinkirin.com までメールしてください。

13. お問い合わせ

プライバシーに関するご質問や権利行使については、以下の窓口をご利用ください：

• プライバシー全般: privacy@coinkirin.com
• データ保護責任者: dpo@coinkirin.com
• カリフォルニア CCPA リクエスト: privacy@coinkirin.com — 件名：「CCPA Request」
• 中国 PIPL リクエスト: privacy@coinkirin.com — 件名：「PIPL Request」
• 郵送: まずメールでご連絡ください。住所はご請求に応じて提供します。